Tweet
Cách thức lây nhiễm của BugBear-B:
Khi virus BugBear.B được kích hoạt, nó copy bản thân vào thư mục \Startup dưới tên một chương trình mà virus chọn, dạng ????.exe, cụ thể là:
C:\Windows\Start Menu\Programs\Startup\Cyye.exe khi mà nó được chạy trên nền Windows 95/98/Me.
· C:\Documents and Settings\<current user name>\Start Menu\Programs\Startup\Cti.exe khi nó chạy trên nền hệ điều hành Windows NT/2000/XP.
1. Tìm kiếm các địa chỉ trong các file có phần mở rộng là: .mmf, .nch, .mbx, .eml. .tbb, .dbx, .ocs.
2. Lấy thông tin địa chỉ email của người sử dụng trong registry ở key
3. Sử dụng account đó để gửi chính bản thân nó đến các địa chỉ mà nó tìm được dưới dạng một thư điện tử có phần subject là: Hello!, update, hmm, Payment notices, Just a reminder, Correction of errors, history screen, Announcement, various, Introduction, Interesting..., I need help about script!!!, Stats, Please Help..., Report, Membership Confirmation, Get a FREE gift!, Today Only, New Contests, Lost & Found, bad news, wow!, fantastic, click on this!, Market Update Report, empty account, My eBay ads, Cows, 25 merchants and rising, CALL FOR INFORMATION!, new reading, Sponsors needed, SCAM alert!!!, Warning!, its easy, free shipping!, News, Daily Email Reminder, Tools For Your Online Business, New bonus in your cash account, Your Gift, Re:, $150 FREE Bonus!, Your News Alert, Hi!, Get 8 FREE issues - no risk!, Greets!
4. Tên các file đính kèm thường là tên các file được tìm trong thư mục My Documents có phần mở rộng là: .reg, .ini, .bat, .diz, .txt, .cpp, .html, .htm, .jpeg, .jpg, .gif, .cpl, .dll, .vxd, .sys, .com, .exe, .bmp.
5. Và file virus đính kèm thường là các file có phần mở rộng là: .scr, .pif và .exe. Thêm vào đó các file đính kèm đó thường có thêm nội dung là: readme, Setup, Card, Docs, news, image, images, pics, resume, photo, video, music, song, data.
Cách thức lây lan trong mạng nội bộ:
6. Worm này có thể lây vào các file được chia sẻ trên mạng và chúng lựa chọn các file sau để lây: scandskw.exe, regedit.exe, mplayer.exe, hh.exe, notepad.exe, winhelp.exe, Internet Explorer\iexplore.exe, adobe\acrobat 5.0\reader\acrord32.exe, WinRAR\WinRAR.exe, Windows Media Player\mplayer2.exe, Real\RealPlayer\realplay.exe, Outlook Express\msimn.exe, Far\Far.exe, CuteFTP\cutftp32.exe, Adobe\Acrobat 4.0\Reader\AcroRd32.exe, ACDSee32\ACDSee32.exe, MSN Messenger\msnmsgr.exe, WS_FTP\WS_FTP95.exe, QuickTime\QuickTimePlayer.exe, StreamCast\Morpheus\Morpheus.exe, Zone Labs\ZoneAlarm\ZoneAlarm.exe, Trillian\Trillian.exe, Lavasoft\Ad-aware 6\Ad-aware.exe, AIM95\aim.exe, Winamp\winamp.exe, DAP\DAP.exe, ICQ\Icq.exe, kazaa\kazaa.exe, winzip\winzip32.exe.
7. Virus này cố gắng lây lan vào tất cả các máy trên mạng và chèn vào thư mục Startup. Virus không phân biệt được đâu là máy in đâu là máy tính vì vậy trong quá trình lây lan nó chiếm tài nguyên của máy in chia sẻ làm máy in in ra những ký tự rác.
8. Keylog
Virus này tạo ra một file dll có tên ngẫu nhiên để ghi lại các phím dưới dạng keylog. File này nằm trong thư mục \Windows\system, file này có kích thước 5632 byte và được biết đến như là Trojan: PWS.Hooker.Trojan.
9. Các tiến trình mà virus tự động kết thúc trong khi thực thi:
ZONEALARM.EXE
WFINDV32.EXE
WEBSCANX.EXE
VSSTAT.EXE
VSHWIN32.EXE
VSECOMR.EXE
VSCAN40.EXE
VETTRAY.EXE
VET95.EXE
TDS2-NT.EXE
TDS2-98.EXE
TCA.EXE
TBSCAN.EXE
SWEEP95.EXE
SPHINX.EXE
SMC.EXE
SERV95.EXE
SCRSCAN.EXE
SCANPM.EXE
SCAN95.EXE
SCAN32.EXE
SAFEWEB.EXE
RESCUE.EXE
RAV7WIN.EXE
RAV7.EXE
PERSFW.EXE
PCFWALLICON.EXE
PCCWIN98.EXE
PAVW.EXE
PAVSCHED.EXE
PAVCL.EXE
PADMIN.EOUTPOST.EXE
NVC95.EXE
NUPGRADE.EXE
NORMIST.EXE
NMAIN.EXE
NISUM.EXE
NAVWNT.EXE
NAVW32.EXE
NAVNT.EXE
NAVLU32.EXE
NAVAPW32.EXE
N32SCANW.EXE
MPFTRAY.EXE
MOOLIVE.EXE
LUALL.EXE
LOOKOUT.EXE
LOCKDOWN2000.EXE
JEDI.EXE
IOMON98.EXE
IFACE.EXE
ICSUPPNT.EXE
ICSUPP95.EXE
ICMON.EXE
ICLOADNT.EXE
ICLOAD95.EXE
IBMAVSP.EXE
IBMASN.EXE
IAMSERV.EXE
IAMAPP.EXE
FRW.EXE
FPROT.EXE
FP-WIN.EXE
FINDVIRU.EXE
F-STOPW.EXE
F-PROT95.EXE
F-PROT.EXE
F-AGNT95.EXE
ESPWATCH.EXE
ESAFE.EXE
ECENGINE.EXE
DVP95_0.EXE
DVP95.EXE
CLEANER3.EXE
CLEANER.EXE
CLAW95CF.EXE
CLAW95.EXE
CFINET32.EXE
CFINET.EXE
CFIAUDIT.EXE
CFIADMIN.EXE
BLACKICE.EXE
BLACKD.EXE
AVWUPD32.EXE
AVWIN95.EXE
AVSCHED32.EXE
AVPUPD.EXE
AVPTC32.EXE
AVPM.EXE
AVPDOS32.EXE
AVPCC.EXE
AVP32.EXE
AVP.EXE
AVNT.EXE
AVKSERV.EXE
AVGCTRL.EXE
AVE32.EXE
AVCONSOL.EXE
AUTODOWN.EXE
APVXDWIN.EXE
ANTI-TROJAN.EXE
ACKWIN32.EXE
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE
10. Cơ cấu backdoor:
Virus mở và chờ cổng 1080. Hacker có thể kết nối vào cổng này để làm các công việc sau:
· Xoá file
· Dừng các tiến trình
· Liệt kê các tiến trình và chuyển cho hacker
· Copy file
· Khởi tạo một tiến trình
· Liệt kê các file và gửi cho hacker.
Khi virus BugBear.B được kích hoạt, nó copy bản thân vào thư mục \Startup dưới tên một chương trình mà virus chọn, dạng ????.exe, cụ thể là:
C:\Windows\Start Menu\Programs\Startup\Cyye.exe khi mà nó được chạy trên nền Windows 95/98/Me.
· C:\Documents and Settings\<current user name>\Start Menu\Programs\Startup\Cti.exe khi nó chạy trên nền hệ điều hành Windows NT/2000/XP.
1. Tìm kiếm các địa chỉ trong các file có phần mở rộng là: .mmf, .nch, .mbx, .eml. .tbb, .dbx, .ocs.
2. Lấy thông tin địa chỉ email của người sử dụng trong registry ở key
3. Sử dụng account đó để gửi chính bản thân nó đến các địa chỉ mà nó tìm được dưới dạng một thư điện tử có phần subject là: Hello!, update, hmm, Payment notices, Just a reminder, Correction of errors, history screen, Announcement, various, Introduction, Interesting..., I need help about script!!!, Stats, Please Help..., Report, Membership Confirmation, Get a FREE gift!, Today Only, New Contests, Lost & Found, bad news, wow!, fantastic, click on this!, Market Update Report, empty account, My eBay ads, Cows, 25 merchants and rising, CALL FOR INFORMATION!, new reading, Sponsors needed, SCAM alert!!!, Warning!, its easy, free shipping!, News, Daily Email Reminder, Tools For Your Online Business, New bonus in your cash account, Your Gift, Re:, $150 FREE Bonus!, Your News Alert, Hi!, Get 8 FREE issues - no risk!, Greets!
4. Tên các file đính kèm thường là tên các file được tìm trong thư mục My Documents có phần mở rộng là: .reg, .ini, .bat, .diz, .txt, .cpp, .html, .htm, .jpeg, .jpg, .gif, .cpl, .dll, .vxd, .sys, .com, .exe, .bmp.
5. Và file virus đính kèm thường là các file có phần mở rộng là: .scr, .pif và .exe. Thêm vào đó các file đính kèm đó thường có thêm nội dung là: readme, Setup, Card, Docs, news, image, images, pics, resume, photo, video, music, song, data.
Cách thức lây lan trong mạng nội bộ:
6. Worm này có thể lây vào các file được chia sẻ trên mạng và chúng lựa chọn các file sau để lây: scandskw.exe, regedit.exe, mplayer.exe, hh.exe, notepad.exe, winhelp.exe, Internet Explorer\iexplore.exe, adobe\acrobat 5.0\reader\acrord32.exe, WinRAR\WinRAR.exe, Windows Media Player\mplayer2.exe, Real\RealPlayer\realplay.exe, Outlook Express\msimn.exe, Far\Far.exe, CuteFTP\cutftp32.exe, Adobe\Acrobat 4.0\Reader\AcroRd32.exe, ACDSee32\ACDSee32.exe, MSN Messenger\msnmsgr.exe, WS_FTP\WS_FTP95.exe, QuickTime\QuickTimePlayer.exe, StreamCast\Morpheus\Morpheus.exe, Zone Labs\ZoneAlarm\ZoneAlarm.exe, Trillian\Trillian.exe, Lavasoft\Ad-aware 6\Ad-aware.exe, AIM95\aim.exe, Winamp\winamp.exe, DAP\DAP.exe, ICQ\Icq.exe, kazaa\kazaa.exe, winzip\winzip32.exe.
7. Virus này cố gắng lây lan vào tất cả các máy trên mạng và chèn vào thư mục Startup. Virus không phân biệt được đâu là máy in đâu là máy tính vì vậy trong quá trình lây lan nó chiếm tài nguyên của máy in chia sẻ làm máy in in ra những ký tự rác.
8. Keylog
Virus này tạo ra một file dll có tên ngẫu nhiên để ghi lại các phím dưới dạng keylog. File này nằm trong thư mục \Windows\system, file này có kích thước 5632 byte và được biết đến như là Trojan: PWS.Hooker.Trojan.
9. Các tiến trình mà virus tự động kết thúc trong khi thực thi:
ZONEALARM.EXE
WFINDV32.EXE
WEBSCANX.EXE
VSSTAT.EXE
VSHWIN32.EXE
VSECOMR.EXE
VSCAN40.EXE
VETTRAY.EXE
VET95.EXE
TDS2-NT.EXE
TDS2-98.EXE
TCA.EXE
TBSCAN.EXE
SWEEP95.EXE
SPHINX.EXE
SMC.EXE
SERV95.EXE
SCRSCAN.EXE
SCANPM.EXE
SCAN95.EXE
SCAN32.EXE
SAFEWEB.EXE
RESCUE.EXE
RAV7WIN.EXE
RAV7.EXE
PERSFW.EXE
PCFWALLICON.EXE
PCCWIN98.EXE
PAVW.EXE
PAVSCHED.EXE
PAVCL.EXE
PADMIN.EOUTPOST.EXE
NVC95.EXE
NUPGRADE.EXE
NORMIST.EXE
NMAIN.EXE
NISUM.EXE
NAVWNT.EXE
NAVW32.EXE
NAVNT.EXE
NAVLU32.EXE
NAVAPW32.EXE
N32SCANW.EXE
MPFTRAY.EXE
MOOLIVE.EXE
LUALL.EXE
LOOKOUT.EXE
LOCKDOWN2000.EXE
JEDI.EXE
IOMON98.EXE
IFACE.EXE
ICSUPPNT.EXE
ICSUPP95.EXE
ICMON.EXE
ICLOADNT.EXE
ICLOAD95.EXE
IBMAVSP.EXE
IBMASN.EXE
IAMSERV.EXE
IAMAPP.EXE
FRW.EXE
FPROT.EXE
FP-WIN.EXE
FINDVIRU.EXE
F-STOPW.EXE
F-PROT95.EXE
F-PROT.EXE
F-AGNT95.EXE
ESPWATCH.EXE
ESAFE.EXE
ECENGINE.EXE
DVP95_0.EXE
DVP95.EXE
CLEANER3.EXE
CLEANER.EXE
CLAW95CF.EXE
CLAW95.EXE
CFINET32.EXE
CFINET.EXE
CFIAUDIT.EXE
CFIADMIN.EXE
BLACKICE.EXE
BLACKD.EXE
AVWUPD32.EXE
AVWIN95.EXE
AVSCHED32.EXE
AVPUPD.EXE
AVPTC32.EXE
AVPM.EXE
AVPDOS32.EXE
AVPCC.EXE
AVP32.EXE
AVP.EXE
AVNT.EXE
AVKSERV.EXE
AVGCTRL.EXE
AVE32.EXE
AVCONSOL.EXE
AUTODOWN.EXE
APVXDWIN.EXE
ANTI-TROJAN.EXE
ACKWIN32.EXE
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE
10. Cơ cấu backdoor:
Virus mở và chờ cổng 1080. Hacker có thể kết nối vào cổng này để làm các công việc sau:
· Xoá file
· Dừng các tiến trình
· Liệt kê các tiến trình và chuyển cho hacker
· Copy file
· Khởi tạo một tiến trình
· Liệt kê các file và gửi cho hacker.